冰 蠍流量分析涉及以下 幾個 關 鍵步 驟:
冰 蠍通信的初始 階段。 當攻 擊者 嘗 試 訪 問目 標 伺服器的Webshell 時,首先 會通 過GET或POST 請求提交 一個 隨 機 數字。 伺服器接收到 請求 後, 會生成 一個128位的 隨 機 數, 並 將 這 個 隨 機 數存 儲到 會 話中,同 時 將 這 個 隨 機 數返回 給客 戶端。客 戶端在接收到 這 個 隨 機 數 後, 並不 會直接使用它作 為 後 續通信的密 鑰,而是 會 繼 續 重複上述 過程,直到 滿足特定 條件,才 會 確定最 終的密 鑰。
密 鑰的生成和更新。在冰 蠍的通信 過程中,客 戶端和 伺服器之 間 會通 過 對 稱加密算法(如AES) 進行加密通信。在通信的初期,客 戶端和 伺服器 會通 過生成新的 隨 機 數 來生成新的密 鑰, 並使用 這 個密 鑰 來加密和解密 數 據。在 隨 後的通信中,客 戶端和 伺服器 會使用 這 個密 鑰 來加密和解密 數 據。
使用Wireshark 進行流量分析。 為了分析冰 蠍的流量,可以使用 網路嗅探工具,如Wireshark。通 過Wireshark,可以捕 獲客 戶端和 伺服器之 間的通信 數 據包, 並追 蹤HTTP流, 從而看到冰 蠍客 戶端 與 伺服器的完整通信 過程。在分析 過程中,可以 關注 請求和 回響的 數 據包,以及 數 據包中的特定 欄位,如cookies和session ID, 這些信息有 助於理解通信的 細 節和 過程。
通 過上述步 驟,可以深入了解冰 蠍流量分析的各 個方面, 包括通信的初始 階段、密 鑰的生成和更新,以及如何使用Wireshark 進行流量分析。